星球日報訊據慢霧區情報,Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投NFT,用戶通過空投NFT描述內容裡的鏈接(www_officialsolanarares_net) 進入目標網站,連接錢包,點擊頁面上的“Mint”,出現批准提示框。注意,此時的批准提示框並沒有什麼特別提示,當批准後,該錢包裡的所有SOL都會被轉走。當點擊“批准”時,用戶會和攻擊者部署的惡意合約交互: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v 該惡意合約的功能最終就是發起“SOL Transfer”,將用戶的SOL幾乎全部轉走。從鏈上信息來看,該釣魚行為已經持續了幾天,中招者在不斷增加。慢霧在此提醒: 1. 惡意合約在用戶批准(Approve)後,可以轉走用戶的原生資產(這裡是SOL),這點在以太坊上是不可能的,以太坊的授權釣魚釣不走以太坊的原生資產(ETH),但可以釣走其上的Token。於是這裡就存在“常識違背”現象,導致用戶容易掉以輕心。 2. Solana最知名的錢包Phantom在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。